사이버 보안 회사 CYFIRMA의 연구원들은 Neptune RAT이라는 새롭고 매우 정교한 맬웨어를 발견했습니다. 이 맬웨어는 GitHub, Telegram, YouTube와 같은 소셜 플랫폼에 빠르게 확산되고 있으며, 전 세계 Windows 사용자(개인 및 조직 모두)에게 심각한 위협을 초래하고 있습니다.
"가장 진보된 RAT"라고도 불리는 이 원격 접속 트로이 목마(RAT)는 암호화 클리퍼, 비밀번호 그래버, 시스템 파괴, 랜섬웨어 배포, 라이브 데스크톱 모니터링, 바이러스 백신 소프트웨어 비활성화 기능 등 여러 가지 악성 기능을 탑재하고 있어 매우 심각한 위협입니다.
유통 채널 및 감염 방법
CYFIRMA에 따르면, Neptune RAT(Visual Basic.NET으로 작성) 개발자들은 소스 코드 없이 최신 버전의 소프트웨어를 소셜 플랫폼에 무료로 배포했습니다. 개발자들은 악성 코드 분석을 방해하기 위해 실행 파일을 의도적으로 난독화했습니다.
개발자는 무료 버전이라고 소개하고 "교육적, 윤리적 목적"을 위한 것이라고 주장하지만, 유료 버전을 사용하면 더 발전된 버전을 사용할 수 있다는 암시를 던지고 있으며, 배포 방식과 잠재적으로 오용될 가능성을 고려하면 심각한 보안 문제가 제기되고 있습니다.
Neptune RAT는 irm 및 iex를 사용하여 직접 PowerShell 명령을 생성하여 원활한 배포 및 실행을 지원합니다. GitHub과 같은 플랫폼과 catbox.moe와 같은 API를 사용하여 악성 스크립트와 파일을 호스팅합니다. 또한, 기존 문자열을 대체하기 위해 아랍어 문자와 이모지가 통합되어 분석이 더욱 어려워졌습니다.
맬웨어 기능
Neptune RAT는 다음과 같은 여러 가지 위험한 기능을 자랑합니다.
신원 정보 도용 : 웹 브라우저, 소셜 미디어, 금융 플랫폼을 포함한 270개 이상의 애플리케이션에서 신원 정보나 로그인 정보를 추출할 수 있습니다.
암호화폐 클리핑 : 클립보드 활동을 모니터링하여 암호화폐 지갑 주소를 감지하고 공격자가 제어하는 주소로 바꿔 피해자의 동의 없이 자금을 다른 곳으로 옮깁니다.
랜섬웨어 배포 : Neptune RAT가 활성화되면 피해자 시스템의 파일을 암호화하고 이를 해제하는 대가로 몸값을 요구하여 사실상 데이터를 인질로 잡습니다.
시스템 파괴 : 마스터 부트 레코드와 같은 시스템 구성 요소를 손상시켜 감염된 장치를 작동 불가능하게 만드는 기능이 포함되어 있습니다.
회피 기술 : 가상 머신(VM) 탐지 등의 분석 방지 방법을 활용하고 레지스트리 수정 및 작업 스케줄러를 통해 여러 가지 지속성 방법을 확립하여 손상된 시스템에 대한 장기적인 제어를 유지할 수 있도록 합니다.
보호 조치
Neptune RAT로 인한 잠재적 위협을 예방하기 위해 개인과 조직 모두 보호 조치를 취해야 합니다. 예를 들어, GitHub, Telegram, YouTube와 같은 플랫폼에서 소프트웨어를 다운로드하거나 신뢰할 수 없는 출처의 링크를 클릭하지 않는 등의 조치가 필요합니다.
알려진 취약점을 패치하기 위해 Windows와 설치된 모든 앱을 정기적으로 업데이트하고, 고급 위협을 탐지하고 차단할 수 있는 평판 좋은 바이러스 백신 및 맬웨어 방지 소프트웨어를 사용하세요.
공격이 발생할 경우 복구를 보장하기 위해 중요한 데이터를 정기적으로 백업하고, 새로운 위협에 대한 정보를 얻고 안전한 검색 및 다운로드 습관을 실천하세요.
Neptune RAT에 대한 자세한 내용은 CYFIRMA 웹사이트 에서 확인하세요.
*참고한 원본 글: https://www.techworm.net/2025/04/neptune-rat-malware-spread.html
댓글